ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 

  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: Inet-Admins
Inet-Admins mailing list archive (inet-admins@info.east.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [inet-admins] халтурка



> On Fri, Apr 15, 2005 at 06:40:07PM +0400, Anatoly A. Orehovsky wrote:
> > > On Fri, Apr 15, 2005 at 12:48:18PM +0400, Anatoly A. Orehovsky wrote:
> > > > 1. Почему вообще не Windows RRAS?
> > >
> > > Потому что ящик BSDшный.
> >
> > При наличии AD вряд ли помешал бы и RRAS. В чем критичность FreeBSD?
>
> 1) в том что администрироваться оно будет исключительно удаленно,
> автоматизированно и с минимальным ручным вмешательством

Все это так же просто происходит на Windows. От Management Console через
Terminal Services до ssh и telnet на выбор.

> 2) в том что там будут другие функции, для которых винда в принципе
> не пригодна.

Ну, может быть, может быть...

> > > > 2. Почему L2TP, а не PPTP?
> > >
> > > Обсуждаемо.
> >
> > Опенсорсные реализации L2TP работают плохо. PPTP несколько лучше. Хотя
RRAS
> > делает и то, и другое еще лучше, если клиенты виндовые и не пытаются
> > коннектиться из-за глупого ната.
>
> А можно пробдробнее про "плохо"?

Например, возьмем реализацию в виде l2tpd. У него большие проблемы с
реордером пакетов при работе в реальном Интернете. В результате криптованные
(MPPE) туннели при попытке прогрузить их трафиком ломаются - в pppd попадает
такой мусор, от которого все перестает работать. Есть еще всякие проблемы.

Проводились тесты на туннеле Москва-Сан-Франциско. Так вот, в абсолютно
одинаковых условиях с одним и тем же клиентом производидельность туннеля на
перекачке файла наблюдалась такая - l2tpd-linux (без MPPE, с MPPE просто все
вставало, хотя туннель и не падал) был почти в полтора раза медленнее, чем
pptpd-linux (с MPPE), а тот был раза в полтора медленнее RRAS-w2k server, на
котором достигалась практически теоретически возможная производительность.

> > > > 3. Почему LDAP, а не Windows IAS(RADIUS)?
> > >
> > > Потому что LDAP как я понимаю из AD "сам растет", а Radius настраивать
> > > дополнительно надо.
> >
> > IAS входит в дистрибутив Windows Server и настраивается за две минуты. В
> > результате получается бонус в виде логов на сервере. И возможности
выдавать
> > привязанные к имени ip-адреса. И все удобно рулится через Windows
Management
> > Console, не требуя дополнительных cgi и прочей неестественной обвязки.
>
> Это не неестественная обвязка, а необходимый инструмент управления
> в данном случае. AD и ящик рулятся из разных мест разными людьми.

Дело в том, что при IAS рулить RAS-боксом (хоть RRAS, хоть freebsd-radius)
относительно доступа не придется вообще. Рулить доступом будет администратор
AD (именно AD!) - заводить юзеров, давать права на dial-in и првязывать к
именам ip-адреса, если нужно.

Кстати, забыл еще об одной вещи, доступной при RRAS - юзера можно заставить
менять пароль при логине через VPN в соответствии с политиками безопасности.
А также юзать новые полезные фичи типа карантина.

--
Anatoly A. Orehovsky AO9-RIPE AAO1-RIPN


=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@xxxxxxxxxxxx if you want to quit.
Archive is accessible on http://info.east.ru/rus/inetadm.html




 




Copyright © Lexa Software, 1996-2009.